Educar, educar y educar, las principales acciones para la prevención en ciberseguridad y algunas más

Con base en la experiencia de Oscar Sánchez y Oscar Aguilar, ingenieros de Soluciones de Seguridad de F5 México, conviene vivir prevenido y recordar que el usuario será siempre la primera y última línea de defensa.

Cuando se habla de ciberseguridad, la prevención sigue siendo la estrategia más eficaz. A pesar de que existan controles, políticas y tecnología desplegada para la ciber defensa, los nuevos esquemas de trabajo híbrido y la mutinube, además de la velocidad de los cambios tecnológicos, están añadiendo complejidades que ponen en riesgo activos y datos estratégicos en cualquier organización. De ahí la conveniencia de revisitar conceptos nuevos (y algunos no tanto) de ciberseguridad. En entrevista, Oscar Sánchez y Oscar Aguilar, expertos en seguridad de F5 México, compartieron sus experiencias y recomendaciones. 

El ransomware es prevenible

La principal defensa contra la principal amenaza actual es la educación y concientización de los usuarios. La forma en que se contagia es por usuarios que no tienen buen conocimiento y le dan clic a una liga que no deben o aceptan correos de desconocidos. Otra manera es a través de una aplicación que no está parchada y los atacantes explotan la vulnerabilidad para obtener acceso a través de un usuario con buenas credenciales. 

Oscar Aguilar, Ingeniero de Soluciones de F5 Latinoamérica

El primer paso es prevenir. Las organizaciones deben implementar políticas de seguridad para que los empleados entiendan que hay responsabilidades cuando utilizan un activo de la organización. Deben saber qué pasa cuando prestan un dispositivo, abren un correo o navegan sitios que no son de la organización. Para eso se debe entrenar constantemente a la gente.

Asimismo, hay que tener un respaldo de los datos. “Hemos visto en nuestra experiencia que muchas empresas no tienen respaldos o no revisan que estén hechos de manera adecuada. No están verificados”, opinaron los expertos. 

Es importante tener los respaldos fuera de línea. Una de las fases del ataque es acceder e investigar al cliente, mirar los datos confidenciales y los respaldos. De manera tal que al actuar puedan chantajear al cliente y este no tenga respaldos confiables y sea forzado a pagar la recompensa.

Asegurar los dispositivos y los sistemas de información, tenerlos parchados, usar software legítimo, son otras tres prácticas recomendadas por los entrevistados.

Desde su perspectiva, el Zero Trust prevé un plan de control que define cómo se va a comunicar el usuario y su comportamiento dentro de la red.

Oscar Sánchez, Ingeniero de Soluciones de F5 Latinoamérica

“Hoy las cargas de trabajo están en cloud. Ya no funciona la red perimetral. La superficie de ataque es todo y cualquiera con acceso a internet puede vulnerar la red”, dijeron. 

La pandemia añadió otro factor de riesgo, porque se habilitó el trabajo remoto sin proteger los acceso adecuadamente. El esquema de la VPN es muy socorrido, pero solo se valida el usuario y password, y una vez que validado se pierde visibilidad sobre sus movimientos dentro de la organización.

“Es esquema de Zero Trust o confianza cero es un tema de menos privilegios: identificar usuarios, computadoras y recursos (redes, aplicaciones, servicios en cloud). Ahí viene la importancia de la segmentación de la red. ¿Cómo mantener los controles on premises y en el cloud? Hay muchos sistemas legados y esas organizaciones tienen esquemas híbridos. Tenemos que establecer identificación de usuarios, recursos y políticas. También hay que añadir el monitoreo de todos estos recursos para obtener visibilidad”, añadieron.

El énfasis debe estar puesto en el menor privilegio, un principio básico en ciberseguridad que, sin embargo, a decir de los experto es algo que las empresas no ponen en práctica.

“De pronto un usuario comienza a requerir más interacción porque su puesto cambió y el Administrador no revisa o no consulta las políticas de seguridad y le dan los privilegios de super usuario para que el proyecto salga rápido y eso se convierte en riesgos”, dijeron Sánchez y Aguilar.

Seguridad en cloud, una responsabilidad compartida

La responsabilidad es la palabra clave. Los proveedores de cloud tienen un modelo de responsabilidad compartida. A muy alto nivel, el proveedor de cloud es responsable de la seguridad, pero de la infraestructura, no de los datos, según los expertos de F5. Los datos en tránsito o en la aplicación son responsabilidad del usuario. A menos que se trata de un esquema de SaaS. 

Es importante tener consistencia en la seguridad: lo mismo on premises que en cloud. 

Los consultores dijeron que prevalece el mito de la inseguridad de la nube por desconocimiento, porque se sigue pensando que el proveedor es el responsable de todo. 

Dijeron que con Zero Trust y SASE se persigue la convergencia de on prem y cloud, para alinear las políticas y esquemas. 

Aguilar advirtió: “Los estándares que usan los proveedores de cloud son muy generales y no los aplican a un negocio en particular. El PCI, por ejemplo, establece tener un firewall en el primer punto, pero ubica en el punto 12 la educación de los usuarios y el control de accesos. No les parece prioritario a las empresas y van implementando por orden. Muchas veces se detienen en el punto cinco, cuando quizá el 12 es más importante en su caso y más sencillo de ejecutar.”

Las organizaciones deben conocer sus principales riesgos. “Nuestro objetivo como área de seguridad es apoyar a la empresa a seguir haciendo negocio”, añadió Aguilar. Y dijo contundente que el cifrado es la respuesta en la mayor parte de los casos. “Si tenemos todo cifrado es mucho más difícil que alguien se meta a ver o robar algo.”

Seguridad en DNS, insuficiente atención

“Cuando un usuario malintencionado quiere tirar servicios ataca el DNS, para evitar que los usuarios se conecten o para dirigir a los usuarios a otro sitio que no es el legal.”

No se está prestando suficiente atención a los DNS siendo que en los DNSaaS -DNS as a Service- (como R53, GCP, etc.), se puede obtener información sensible, pues se deben agregar ciertos name servers pertenecientes a los proveedores de servicio DNS administrado.

Los proveedores de servicio DNS administrado no están incluyendo en un blacklist sus propios servidores DNS. En un ejercicio, luego de 14 horas de pruebas, se logró obtener las actualizaciones DNS de más de 15,000 organizaciones, incluyendo 130 agencias gubernamentales y muchas compañías del Fortune 500. Dentro de los datos obtenidos, se encontraron IP internas y externas de cada sistema, nombres de computadoras y hasta nombres de empleados.

Algunos clientes subieron sus zonas con IP privadas. Y los hackers hicieron un mapeo de ellas. De ahí partieron para hacer un exploit con el conocimiento de la red. La protección es no entregar IP privadas a los usuarios que se conectan externamente”, dijo Aguilar.

Por su parte, Sánchez insistió en que los servicios en la nube tienen seguridad, pero es de tipo genérica, un template que puede o no servir a todos. “Si vas a mover cargas, hay ver qué tan robusto es para ti en particular. Si no lo es, hay que implementar controles de seguridad adicionales.”

Ambos coincidieron en que la prevención consiste en educar, educar y educar. El usuario es la primera y última línea de defensa.

Mónica es fundadora, presidenta y directora general de Netmedia. Su trayectoria periodística inició en la revista Expansión. Ha sido editora y creadora de publicaciones especializadas en IT durante más de tres décadas. Escribe su columna “Contraseña” desde inicios de la década de los 90, misma que sigue vigente en su blog personal. Ha sido conductora, moderadora y conferencista en múltiples foros de la industria, y ha entrevistado a decenas de líderes de las principales compañías del medio.

Related posts

Deja un comentario